FERRAMENTAS LINUX: Atualização de segurança moderada do openSUSE para o roundcubemail, aviso openSUSE: 2020: 1516-1

quinta-feira, 24 de setembro de 2020

Atualização de segurança moderada do openSUSE para o roundcubemail, aviso openSUSE: 2020: 1516-1

 


Confira !!


Uma atualização que resolve 6 vulnerabilidades e tem duas correções já está disponível.

   Atualização de segurança do openSUSE: atualização de segurança para roundcubemail

______________________________________________________________________________


ID do anúncio: openSUSE-SU-2020: 1516-1

Avaliação: moderada

Referências: # 1115718 # 1115719 # 1146286 # 1171040 # 1171148 

                    # 1171149 # 1173792 # 1175135 

Referências cruzadas: CVE-2019-10740 CVE-2020-12625 CVE-2020-12640

                    CVE-2020-12641 CVE-2020-15562 CVE-2020-16145

                   

Produtos afetados:

                    openSUSE Leap 15.2

                    openSUSE Leap 15.1

                    Backports do openSUSE SLE-15-SP2

                    Backports do openSUSE SLE-15-SP1

______________________________________________________________________________


   Uma atualização que resolve 6 vulnerabilidades e tem duas correções

   está agora disponivel.


Descrição:


   Esta atualização para roundcubemail corrige os seguintes problemas:


   roundcubemail foi atualizado para 1.3.15


   Esta é uma atualização de segurança para a versão 1.3 do LTS. (boo # 1175135)


     * Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com

       conteúdo SVG malicioso [CVE-2020-16145]

     * Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com

       conteúdo matemático malicioso


   De 1.3.14 (boo # 1173792 -> CVE-2020-15562)


     * Segurança: Corrija cross-site scripting (XSS) por meio de mensagens HTML com

       svg / namespace malicioso


   De 1.3.13


     * Instalador: corrige a regressão na seção de teste SMTP (# 7417)


   De 1.3.12


     * Segurança: Melhor correção para CVE-2020-12641 (boo # 1171148)

     * Segurança: Corrija o problema de XSS no objeto de modelo 'nome de usuário' (# 7406)

     * Segurança: Corrija alguns problemas de XSS no instalador (# 7406)

     * Segurança: Corrija cross-site scripting (XSS) por meio de anexo XML malicioso


   De 1.3.11 (boo # 1171148 -> CVE-2020-12641 boo # 1171040 -> CVE-2020-12625

   boo # 1171149 -> CVE-2020-12640)


     * Enigma: corrige a compatibilidade com Mail_Mime> = 1.10.5

     * Corrija as permissões em algumas pastas criadas por bin / install-jsdeps.sh

       script (# 6930)

     * Correção de bug onde as imagens embutidas poderiam ter sido ignoradas se Content-Id

       cabeçalho continha espaços redundantes (# 6980)

     * Corrigir Aviso de PHP: Uso de constante indefinida LOG_EMERGE (# 6991)

     * Corrigir o aviso do PHP: "array_merge (): Parâmetro 2 esperado para ser um array,

       null fornecido em sendmail.inc (# 7003)

     * Segurança: corrige o problema de XSS no tratamento de CDATA em mensagens HTML

     * Segurança: Corrija a execução remota de código via 'im_convert_path' criado ou

       Configurações de 'im_identify_path'

     * Segurança: Corrija a inclusão de arquivo local (e execução de código) por meio de

       opção 'plugins'

     * Segurança: Corrigir bypass CSRF que poderia ser usado para sair de um

       usuário autenticado (# 7302)


   De 1.3.10 (boo # 1146286)


     * Managesieve: Corrija para que a opção "Criar filtro" não apareça quando

       O menu de filtros está desativado (# 6723)

     * Enigma: Correção de bug em que usuários / chaves revogados não ficavam esmaecidos na chave

       informação

     * Enigma: corrige a mensagem de erro ao tentar criptografar com uma chave revogada

       (# 6607)

     * Enigma: Correção do bug "oráculo de descriptografia" [CVE-2019-10740] (# 6638)

     * Correção da compatibilidade com kolab / net_ldap3> 1.0.7 (# 6785)

     * Correção de bug em que imagens bmp não podiam ser exibidas em alguns sistemas (# 6728)

     * Correção de bug na análise de dados vCard usando PHP 7.3 devido a um regexp inválido

       (# 6744)

     * Correção de bug em que texto em negrito / forte era convertido em maiúsculas em

       conversão de html para texto (6758)

     * Correção de bug em rcube_utils :: parse_hosts () onde% t,% d,% z poderia retornar

       apenas tld (# 6746)

     * Corrigir bug onde o botão Próximo / Anterior na visualização de e-mail não funcionava

       resultado da pesquisa de várias pastas (# 6793)

     * Corrigir bug em que a seleção de colunas na lista de mensagens não estava funcionando

     * Correção de bug na conversão de imagens Tiff de várias páginas para Jpeg (# 6824)

     * Corrija a ordem errada das mensagens depois de retornar a uma pesquisa em várias pastas

       resultado (# 6836)

     * Corrigir a depreciação do PHP 7.4: implode () ordem de parâmetro errada (# 6866)

     * Corrigir bug onde era possível ignorar a posição: verificação CSS corrigida

       nas mensagens recebidas (# 6898)

     * Correção de bug onde alguns URIs remotos estritos no estilo url () eram

       bloqueado involuntariamente (# 6899)

     * Corrigido bug onde era possível contornar a prisão CSS em mensagens HTML

       using: root pseudo-class (# 6897)

     * Correção de bug em que era possível ignorar a verificação de URI href com

       data: application / xhtml + xml URIs (# 6896)


   De 1.3.9 (boo # 1115718)


     * Corrigir o local de download do TinyMCE (# 6694)

     * Corrigido bug onde uma mensagem / rfc822 part sem um nome de arquivo não estava listada

       na lista de anexos (# 6494)

     * Correção do tratamento de entradas vazias na importação de vCard (# 6564)

     * Correção de bug na análise de algumas respostas de comando IMAP que incluem

       respostas não solicitadas (# 6577)

     * Corrige a compatibilidade do PHP 7.2 no plugin debug_logger (# 6586)

     * Correção para que QUALQUER registro não seja usado para validação de domínio de e-mail, use A, MX,

       CNAME, AAAA em vez (# 6581)

     * Correção para que a verificação de mime_content_type no instalador use arquivos que deveriam

       estar sempre disponível (ou seja, do programa / recursos) (# 6599)

     * Corrigir token CSRF ausente em um link para baixar parte da mensagem muito grande

       (# 6621)

     * Corrigir bug ao abortar arrastar com a tecla ESC não parava o movimento

       ação (# 6623)

     * Corrigido bug onde a próxima linha não foi selecionada após a exclusão de um recolhido

       discussão (# 6655)


   De 1.3.8


     * Corrigir avisos de PHP em respostas fictícias de QUOTA no Courier-IMAP 4.17.1

       (# 6374)

     * Correção para que o fallback de BINARY para BODY FETCH seja usado também em [PARSE]

       erros no dovecot 2.3 (# 6383)

     * Enigma: corrige a exclusão de chaves com subchaves de autenticação (# 6381)

     * Corrigir expressões regulares inválidas que lançam avisos no PHP 7.3 (# 6398)

     * Correção para que o divisor de pele clássico não escape da janela (# 6397)

     * Corrigir problema de XSS ao lidar com conteúdo de tag de estilo inválido (# 6410)

     * Correção de compatibilidade com MySQL 8 - erro no uso da tabela 'sistema'

     * Managesieve: Corrigir bug em que a configuração show_real_foldernames não era

       respeitado (# 6422)

     * New_user_identity: corrige a substituição de% fu /% u vars no LDAP específico do usuário

       params (# 6419)

     * Correção do suporte para "permitir de opção de configuração "in" x_frame_options "

       (# 6449)

     * Corrigir bug onde o conteúdo válido entre os comentários HTML poderia estar

       pulado em alguns casos (# 6464)

     * Corrigir pesquisa de vários campos VCard (# 6466)

     * Corrigir problema de sessão em solicitações de longa duração (# 6470)


   De 1.3.7 (boo # 1115719)


     * Corrigir aviso de PHP: uso de constante indefinida IDNA_DEFAULT em sistemas

       sem php-intl (# 6244)

     * Correção de bug onde algumas partes das informações de cota poderiam ter sido ignoradas

       (# 6280)

     * Correção de bug em que algumas sequências de escape em estilos html poderiam ser ignoradas

       verificações de segurança

     * Correção de bug onde alguns caracteres proibidos no Cyrus-IMAP não eram

       impedido de usar em nomes de pastas

     * Correção de bug onde apenas anexos com o mesmo nome seriam ignorados em

       download zip (# 6301)

     * Correção de bug onde nomes de contato Unicode podem ter sido quebrados / esvaziados ou

       causou erros de banco de dados (# 6299)

     * Corrigir bug onde após "marcar todas as pastas como lidas" contadores de mensagem de ação

       não foram redefinidos (# 6307)

     * Enigma: [EFAIL] Não descriptografe mensagens PGP sem proteção MDC

       (# 6289)

     * Correção de bug em que alguns comentários HTML podem ter sido malformados por HTML

       analisador (# 6333)



Instruções do patch:


   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE

   como YaST online_update ou "patch zypper".


   Como alternativa, você pode executar o comando listado para o seu produto:


   - openSUSE Leap 15.2:


      zypper em patch -t openSUSE-2020-1516 = 1


   - openSUSE Leap 15.1:


      zypper em patch -t openSUSE-2020-1516 = 1


   - Backports do openSUSE SLE-15-SP2:


      zypper em patch -t openSUSE-2020-1516 = 1


   - Backports do openSUSE SLE-15-SP1:


      zypper em patch -t openSUSE-2020-1516 = 1




Lista de Pacotes:


   - openSUSE Leap 15.2 (noarch):


      roundcubemail-1.3.15-lp152.4.3.1


   - openSUSE Leap 15.1 (noarch):


      roundcubemail-1.3.15-lp151.3.3.1


   - Backports do openSUSE SLE-15-SP2 (noarch):


      roundcubemail-1.3.15-bp152.4.3.1


   - Backports do openSUSE SLE-15-SP1 (noarch):


      roundcubemail-1.3.15-bp151.4.3.1



Referências:


   https://www.suse.com/security/cve/CVE-2019-10740.html

   https://www.suse.com/security/cve/CVE-2020-12625.html

   https://www.suse.com/security/cve/CVE-2020-12640.html

   https://www.suse.com/security/cve/CVE-2020-12641.html

   https://www.suse.com/security/cve/CVE-2020-15562.html

   https://www.suse.com/security/cve/CVE-2020-16145.html

   https://bugzilla.suse.com/1115718

   https://bugzilla.suse.com/1115719

   https://bugzilla.suse.com/1146286

   https://bugzilla.suse.com/1171040

   https://bugzilla.suse.com/1171148

   https://bugzilla.suse.com/1171149

   https://bugzilla.suse.com/1173792

   https://bugzilla.suse.com/1175135


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário